jpgiannetti/roadwave
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
a2679dd381c3cbb50be68470b162316a1705e64b
roadwave/docs/legal/politique-confidentialite.md
jpgiannetti 35aaa105d0 docs: améliorer rendu markdown et navigation mkdocs 
- Ajouter ADR-018 (librairies Go) dans TECHNICAL.md
- Transformer Shared en menu dépliable dans mkdocs (cohérence avec autres domaines)
- Corriger listes markdown (ajout lignes vides avant listes)
- Corriger line breaks dans génération BDD (étapes "Et" sur nouvelles lignes)
- Ajouter script fix-markdown-lists.sh pour corrections futures

Impacte 86 fichiers de documentation et 164 fichiers BDD générés.
2026-02-09 20:49:52 +01:00

317 lines
9.4 KiB
Markdown
Raw Blame History

# Politique de confidentialité
**Version** : 1.0
**Date d'effet** : [DATE]
**Dernière mise à jour** : [DATE]
Conforme au **Règlement Général sur la Protection des Données (RGPD)** (UE 2016/679).
---
## 1. Responsable de traitement
**RoadWave**
[ADRESSE SIÈGE SOCIAL]
SIRET : [SIRET]
Email : dpo@roadwave.fr
**Délégué à la Protection des Données (DPO)** :
[NOM DPO]
Email : dpo@roadwave.fr
---
## 2. Données collectées
### 2.1 Données d'identification
| Donnée | Obligatoire | Finalité | Base légale |
|--------|-------------|----------|-------------|
| **Email** | Oui | Connexion, récupération compte | Exécution du contrat |
| **Mot de passe** | Oui | Authentification sécurisée | Exécution du contrat |
| **Pseudo** | Oui | Identification publique créateur | Exécution du contrat |
| **Date de naissance** | Oui | Vérification âge minimum (13 ans) | Obligation légale |
### 2.2 Données de géolocalisation
| Donnée | Obligatoire | Finalité | Base légale |
|--------|-------------|----------|-------------|
| **Position GPS précise** | Non | Diffusion contenu géolocalisé | **Consentement explicite** |
| **Geohash 5 (~5km²)** | Auto | Recommandations après 24h | Intérêt légitime |
**Durée conservation GPS précis** :
- Historique personnel : **24h** puis agrégé en geohash 5
- Geohash : **conservé** pour analytics (anonymisé)
**Révocation consentement** :
- Désactivation GPS dans paramètres → effet immédiat
- Mode dégradé : contenus nationaux + neutres uniquement
### 2.3 Données d'utilisation
| Donnée | Finalité | Base légale |
|--------|----------|-------------|
| **Historique d'écoute** | Recommandations personnalisées | Intérêt légitime |
| **Centres d'intérêt (jauges)** | Algorithme de recommandation | Consentement |
| **Interactions** (likes, abonnements, skips) | Amélioration UX, analytics | Intérêt légitime |
| **Logs techniques** (IP, user-agent) | Sécurité, anti-fraude | Intérêt légitime |
**IP anonymisée** :
- Dernier octet masqué (ex: 192.168.1.XXX)
- Conservation : 7 jours (sécurité) puis suppression
### 2.4 Données créateurs (monétisation)
| Donnée | Finalité | Base légale |
|--------|----------|-------------|
| **SIRET, numéro TVA** | KYC Mangopay, fiscalité | Obligation légale |
| **RIB professionnel** | Virements revenus | Exécution du contrat |
| **Pièce d'identité** | Vérification identité (KYC) | Obligation légale |
| **Kbis <3 mois** | Vérification entreprise | Obligation légale |
**Traitement KYC** : délégué à **Mangopay** (sous-traitant RGPD).
### 2.5 Données analytics
- **Matomo self-hosted** (pas Google Analytics)
- IP anonymisées
- **0 cookie tiers**
- Données agrégées (pas de tracking individuel hors RoadWave)
---
## 3. Finalités et bases légales
| Finalité | Base légale RGPD | Opt-out possible |
|----------|------------------|------------------|
| **Création et gestion compte** | Exécution du contrat | Non (essentiel) |
| **Diffusion contenu géolocalisé** | Consentement (GPS) | Oui (désactiver GPS) |
| **Recommandations personnalisées** | Intérêt légitime | Oui (mode anonyme) |
| **Modération contenus** | Obligation légale (DSA) | Non |
| **Analytics plateforme** | Intérêt légitime | Oui (opposition) |
| **Publicité ciblée géo** | Consentement | Oui (désactiver dans paramètres) |
| **Paiements créateurs** | Exécution du contrat | Non (si monétisation) |
---
## 4. Partage des données
### 4.1 Sous-traitants RGPD
| Sous-traitant | Finalité | Localisation données | DPA signé |
|---------------|----------|----------------------|-----------|
| **Mangopay** | Paiements, KYC créateurs | UE (Luxembourg) | Oui |
| **OVH** | Hébergement audio, stockage fichiers | France | Oui |
| **Hetzner** | Hébergement serveurs backend | UE (Allemagne) | Oui |
**DPA** = Data Processing Agreement (accord de sous-traitance RGPD).
### 4.2 Données publiques
| Donnée | Visibilité | Modification |
|--------|------------|--------------|
| **Pseudo créateur** | Publique | Modifiable |
| **Bio créateur** | Publique | Modifiable |
| **Stats créateur** (abonnés, écoutes) | Publique (arrondies) | Non modifiable |
| **Badge vérifié** | Publique | Non modifiable |
### 4.3 Aucune revente
RoadWave **ne vend jamais** vos données à des tiers.
### 4.4 Autorités
Données transmises uniquement si :
- **Obligation légale** (réquisition judiciaire)
- **Signalement contenu illégal** (terrorisme, pédopornographie) → autorités compétentes
---
## 5. Durées de conservation
| Donnée | Durée | Justification |
|--------|-------|---------------|
| **Compte actif** | Tant que compte existe | Exécution contrat |
| **Compte supprimé** | Grace period **30 jours** puis suppression | Récupération possible |
| **GPS précis** | **24h** puis agrégé geohash 5 | RGPD minimisation |
| **Historique écoute** | Tant que compte existe | Recommandations |
| **Logs modération** | **3 ans** (DSA) | Obligation légale |
| **Logs techniques (IP)** | **7 jours** puis suppression | Sécurité |
| **KYC créateurs** | 5 ans après fin relation (obligation fiscale) | Obligation légale |
| **Contenus supprimés** | Anonymisés immédiatement, analytics conservés | Analytics plateforme |
---
## 6. Droits des utilisateurs (RGPD)
### 6.1 Droit d'accès
- **Consulter** toutes ses données personnelles
- Interface dédiée : "Mes données" dans paramètres
- Export automatique (voir 6.4)
### 6.2 Droit de rectification
- **Modifier** : pseudo, bio, email, centres d'intérêt
- Demande via : dpo@roadwave.fr
- Délai : **1 mois** (RGPD)
### 6.3 Droit à l'effacement ("droit à l'oubli")
- **Suppression compte** : paramètres → "Supprimer mon compte"
- Grace period : **30 jours** (récupération possible)
- Après 30 jours : suppression définitive
**Exceptions** (conservation nécessaire) :
- Logs modération : 3 ans (obligation DSA)
- KYC créateurs : 5 ans (obligation fiscale)
- Analytics agrégés (anonymisés)
### 6.4 Droit à la portabilité
- **Export données** : JSON + HTML + audio
- Générateur asynchrone (délai **48h** si volume important)
- Lien téléchargement expire après **7 jours**
**Contenu export** :
- Profil (pseudo, bio, stats)
- Historique écoute complet
- Centres d'intérêt (jauges)
- Contenus publiés (métadonnées + fichiers audio)
- Abonnements, likes
### 6.5 Droit d'opposition
- **Profilage publicitaire** : désactivation dans paramètres
- **Analytics** : désactivation tracking Matomo
- **Emails marketing** : désinscription lien footer email
### 6.6 Droit de limitation
- **Suspension traitement** pendant contestation exactitude données
- Demande via : dpo@roadwave.fr
### 6.7 Réclamation CNIL
Si désaccord avec RoadWave :
- **CNIL** (Commission Nationale de l'Informatique et des Libertés)
- Site : https://www.cnil.fr/fr/plaintes
- Adresse : 3 Place de Fontenoy, 75007 Paris
---
## 7. Sécurité des données
### 7.1 Mesures techniques
- **Chiffrement** : HTTPS (TLS 1.3) pour toutes communications
- **Stockage** : bases de données chiffrées au repos (AES-256)
- **Mots de passe** : hashage bcrypt (salt + iterations)
- **Backups** : quotidiens, chiffrés, stockés UE
### 7.2 Mesures organisationnelles
- Accès données restreint (équipe RoadWave uniquement)
- Authentification 2FA pour admins
- Logs d'accès (audit trail)
### 7.3 Violation de données
En cas de fuite de données :
- Notification CNIL sous **72h**
- Notification utilisateurs concernés (email) si risque élevé
- Mesures correctives immédiates
---
## 8. Cookies
### 8.1 Cookies essentiels (pas de consentement requis)
| Cookie | Finalité | Durée |
|--------|----------|-------|
| `session_token` | Authentification utilisateur | 30 jours |
| `refresh_token` | Renouvellement session | 30 jours |
### 8.2 Cookies analytics (consentement requis)
- **Matomo** : analytics self-hosted
- Bannière **Tarteaucitron.js** au premier lancement
- Refus = aucun cookie analytics
### 8.3 Aucun cookie tiers
- Pas de Google Analytics
- Pas de Facebook Pixel
- Pas de trackers publicitaires tiers
---
## 9. Mineurs
### 9.1 Âge minimum
- **13 ans minimum** (RGPD)
- Vérification : date de naissance à l'inscription
### 9.2 Mineurs 13-15 ans
- **Autorisation parentale requise**
- Email parent vérifié
- Parent peut demander suppression compte mineur
### 9.3 Mode Kids
- Activation automatique si <13 ans (détecté via date naissance)
- Contenus filtrés : uniquement "Tout public" + tranches d'âge adaptées
- Pas de publicités ciblées (conformité COPPA US si expansion)
---
## 10. Transferts hors UE
### 10.1 Principe
Données hébergées **exclusivement UE** :
- Serveurs : Hetzner (Allemagne) ou OVH (France)
- Storage : OVH Object Storage (France)
- Paiements : Mangopay (Luxembourg)
### 10.2 Exceptions
**API tierces potentielles** (post-MVP) :
- Si transfert hors UE → clauses contractuelles types (CCT)
- Notification utilisateurs avant activation
---
## 11. Modifications de la politique
- Notification **14 jours avant** entrée en vigueur (email)
- Version datée disponible : roadwave.fr/confidentialite
- Changements majeurs → nouveau consentement requis
---
## 12. Contact DPO
**Délégué à la Protection des Données** :
- Email : dpo@roadwave.fr
- Délai réponse : **1 mois** (RGPD)
**Pour toute question RGPD** :
1. Email dpo@roadwave.fr
2. Objet : "[RGPD] Votre demande"
3. Joindre : justificatif identité (si accès/suppression données)
Reference in New Issue View Git Blame Copy Permalink